Identity Manager を使用すると、自社の外部リソースを作成、プロビジョニング、および集中管理することもできます。
この節では、外部リソースを操作する方法を説明します。トピックは次のように構成されています。
「外部リソース」とは、ユーザーアカウント情報を直接格納しない一意のリソースタイプです。Identity Manager の動作の外部にあるリソースであるといえます。こうしたリソースには、デスクトップコンピュータ、ノートパソコン、携帯電話、セキュリティーバッジなどがあります。
外部リソースのプロビジョニングでは、ほとんどの場合、1 つ以上の手動プロセスが必要です。たとえば、新入社員のノートパソコンをプロビジョニングするために初期要求を行なって必要な承認を得たあと、会社の注文要求システムに購買請求要求を送信する必要が生じることがあります。注文情報を指定したあと、ノートパソコンを新入社員個人に配布してプロビジョニング要求を完了する前に、そのノートパソコンに業務アプリケーションをインストールして事前設定する必要が生じることがあります。
Identity Manager を使用して外部リソースをプロビジョニングすると、申請中の要求について、プロビジョニングしている対象の詳細も含めて、1 人または複数のプロビジョニングツールに通知できます。
たとえば、ユーザーのためにノートパソコンを手動で注文し、事前設定する必要がある IT マネージャーが、外部リソースのプロビジョニングツールである場合があります。
また、Identity Manager は、特定のユーザーに対してプロビジョニングされた外部リソースについての情報を維持し、プロビジョニング要求の完了時にその情報を更新します。さらに、この情報は Identity Manager によって表示、レポート、コンプライアンス監査の検証、およびエクスポートに使用できるようになります。
外部リソースを設定するには、「External Resource Administrator」機能が必要です。新しい外部リソースを作成するには、「Resource Administrator」機能が必要です。
この節では、外部リソースデータストアと外部リソースのプロビジョニングツール通知設定プロセスについて説明します。
Identity Manager の外部リソースデータストアは、外部リソースと外部リソースの割り当てに関する情報を保持する単一のデータストアです。このデータストアは、データベースである場合とディレクトリである場合があります。
外部リソースデータストアが「データベース」である場合、そのデータストアは ScriptedJdbcResourceAdapter によって管理されます。
外部リソースデータストアが「ディレクトリ」である場合、そのデータストアは LDAPResourceAdapter によって管理されます。
外部リソースデータストアを設定するには、「External Resource Administrator」機能が必要です。
外部リソースデータストアには、データを必要に応じた属性値で格納でき、それらの値を 1 つまたは複数のテーブルに格納できます。
たとえば、MySQL データベースを使用している場合、外部リソース情報は次のテーブルに格納されます。
extres.accounts テーブルには accountID と resourceID が含まれます。外部リソースデータストアは単一のデータストアであるため、Identity Manager は一意の ID キー、<accountId>@<resourceId> を指定し、その resourceID によってアカウントを一意に識別します。
extres.attributes テーブルには、名前と値のペアの属性の集合が含まれます。外部リソースの作成時にスキーママッピングでこれらの属性を定義します。
データベーステーブルの作成に使用するサンプルスクリプトは、Identity Manager のパッケージの次の場所に同梱されています。
wshome/sample/ScriptedJdbc/External |
Identity Manager では複数のデータベースタイプがサポートされ、タイプごとにサンプルスクリプトが用意されています。これらのスクリプトは、特定の環境に対して必要に応じて変更できます。
外部リソースデータストアでは、LDAPResourceAdapter を使用して LDAP もサポートされます。これにより、データを既存のクラスまたはカスタムクラスで格納できます。LDIF のサンプルスクリプトも、Identity Manager のパッケージの次の場所に同梱されています。
wshome/sample/other/externalResourcePerson.ldif |
このスクリプトは、外部リソースディレクトリデータストアの設定の一環として変更できます。
変更は簡単に行うことができますが、外部リソースデータストアは、通常、一度だけ設定します。設定を変更すると、Identity Manager によって既存の外部リソースが自動的に更新されて、新たに設定したデータストアが使用されます。
データベースタイプのデータストアを設定するには、次の手順に従います。
Identity Manager 管理者インタフェースのメニューバーから、「設定」->「外部リソース」の順に選択します。
「データストアの設定」ページが表示されたら、「データストアのタイプ」メニューから「Database」を選択します。さらにオプションが表示されます。
次の接続および認証情報を指定します。
Identity Manager は、自動的に、「JDBC ドライバ」、「JDBC URL テンプレート」、ポート、および「最大アイドル時間(秒)」フィールドにデフォルト値を取り込みます。これらのデフォルト値は、必要に応じて変更できます。
「JDBC ドライバ」。JDBC ドライバのクラス名を指定します。
「JDBC URL Template」。JDBC ドライバの URL テンプレートを指定します。
「ホスト」。データベースを実行しているホストの名前を入力します。
「TCP ポート」。データベースが待機中のポート番号を入力します。
「データベース」。データストアテーブルが含まれるデータベースサーバーのデータベース名を入力します。
「ユーザー」。データストアテーブルから行を読み込み、更新、および削除するために十分な権限を持つデータベースユーザーの ID を入力します。たとえば、root などです。
「パスワード」。データベースユーザーのパスワードを入力します。
「すべての SQLException を再スローする」。例外エラーコードが 0 の場合に SQL 例外を SQL 文に再スローするには、このボックスをチェックします。
このオプションを有効にしなかった場合、Identity Manager はこれらの例外を取り込み、抑制します。
「Max Idle Time」。プール内で JDBC 接続を未使用のままにしておく最大時間を秒単位で指定します。
指定した時間が経過する前に接続が使用されていない場合、Identity Manager は接続を閉じ、プールから削除します。
デフォルト値は 600 秒です。
値を -1 にすると、接続は期限切れになりません。
データストアへの接続に成功したら、サポートされるリソースアクションごとに、実行するスクリプトを 1 つ以上指定する必要があります。手順については、「アクションスクリプトを設定する」を参照してください。
Identity Manager で特定の要求の状態の取得、作成、更新、削除、有効化、無効化、テストを追跡および実行するために使用する、一連の BeanShell (bsh) スクリプトを指定する必要があります。
次の場所に、サンプルのアクションスクリプトがあります。
wshome/sample/ScriptedJdbc/External/beanshell |
これらのサンプルを変更して、独自のカスタムアクションスクリプトを作成できます。カスタムスクリプトはアクションスクリプト選択ツールに追加され、「利用可能」リストと「選択されたカスタム列」リストの行の下に表示されます。
Identity Manager には、外部リソースに対してサポートされるデータベースタイプのリソースアクションのサンプルスクリプトが用意されています。これらのスクリプトにアクセスするには、次の場所にある ResourceAction スクリプトを使用します。
wshome/sample/ScriptedJdbc/External/beanshell |
デフォルトのデータベース名、ユーザー名、およびパスワードは、すべて extres です。
他のデータベースオプションのいずれかを選択する場合や、別のユーザー名やデータベース名を使用したい場合は、サンプルのデータベース作成スクリプトや ResourceAction スクリプトを別の値に変更する必要があります。
たとえば、MySQL データベースを選択して、既存のデータベース名、ユーザー名、およびパスワードを変更する場合は、デフォルトのデータベース名、ユーザー名、およびパスワードを extres から externalresources、externaladmin、および externalpassword にそれぞれ変更することによって、create_external_tables.mysql スクリプトを更新する必要があります。
次に、ResourceAction スクリプトを、デフォルトの extres.accounts および extres.attributes の値から externalresources.accounts および externalresources.attributes にそれぞれ変更する必要があります。
アクションスクリプトを設定するには、次の手順に従います。
「Data Store Configuration」ページのアクションスクリプト選択ツールを使用して、リソースアクションごとに 1 つ以上のアクションスクリプトを指定します。リソースアクションごとに少なくとも 1 つのスクリプトを選択する必要があります。
リソースアクションに一致するデフォルトのアクションスクリプトを選択する必要があります。たとえば、次を使用します。
GetUser リソースアクションには External-getUser-bsh
GetUser リソースアクションは、検索操作に使用されます。
CreateUser リソースアクションには External-createUser-bsh
DeleteUser リソースアクションには External-deleteUser-bsh
UpdateUser リソースアクションには External-updateUser-bsh
DisableUser リソースアクションには External-disableUser-bsh
EnableUser リソースアクションには External-enableUser-bsh
Test リソースアクションには External-test-bsh
Test リソースアクションは、「テスト接続」ボタンのすべての機能を有効にするために使用されます。
リスト内のサンプルスクリプトから他の bsh スクリプトのいずれかを使用すると、うまくいきません。
メニューから「アクションコンテキストモード」を選択して、属性値をアクションスクリプトに渡す方法を指定します。
「Strings」。属性値を文字列値として渡します。
「Direct」。属性値を com.waveset.object.AttributeValues オブジェクトとして渡します。
ここで、データストア接続設定をテストします。ページの下にある「テスト接続」ボタンをクリックします。
接続が成功したことを確認するメッセージ、またはその設定でのエラーを報告するメッセージが表示されます。
終了したら、「次へ」をクリックして「プロビジョニング担当者への通知設定」ページに進みます。
ディレクトリタイプのデータストアを設定するには、次の手順に従います。
「データストアのタイプ」メニューから「Directory」を選択します。さらにオプションが表示されます。
ディレクトリタイプのデータストアの接続および認証情報を指定する必要があります。
次のオプションを設定します。
「ホスト」。LDAP サーバーが実行されているホストの IP アドレスまたは名前を入力します。
「TCP ポート」。LDAP サーバーとの通信に使用されている TCP/IP ポートを入力します。
SSL を使用している場合、このポートは通常、636 です。
SSL 以外を使用している場合、このポートは通常、389 です。
「SSL」。SSL を使用する LDAP サーバーに接続するには、このオプションをチェックします。
「フェイルオーバーサーバー」。選択されたサーバーに障害が発生した場合にフェイルオーバーに使用されるサーバーをすべて一覧表示します。この情報を次の形式で入力します。これは、RFC 2255 に記載されている LDAP Version 3 の URL に従っています。
ldap://ldap.example.com:389/o=LdapFailover |
URL のホスト、ポート、および識別名 (distinguished name、dn) の部分のみがこの設定に関係します。
選択されたサーバーに障害が発生した場合、JNDI はリスト内の次のサーバーに自動的に接続します。
「ユーザー DN」。更新時に LDAP サーバーに対する認証に使用する dn を入力します。(デフォルトは cn=Directory Manager)
「パスワード」。プリンシパルのパスワードを入力します。
「ベースコンテキスト」。Identity Manager がユーザーの LDAP ツリーを検索するときに使用できる 1 つ以上の開始位置を指定します。(デフォルトは dc=MYDOMAIN,dc=com)
Identity Manager は、LDAP サーバーからユーザーを検出しようとするとき、またはユーザーがメンバーであるグループを探すときに、検索を実行します。
「オブジェクトクラス」。LDAP ツリーで新しいユーザーオブジェクトを作成するときに使用する、1 つ以上のオブジェクトクラスを入力します。(デフォルトは top)
エントリごとに個別の行に入力する必要があります。エントリを区切るのにコンマやスペースは使用しません。
一部の LDAP サーバーでは、クラス階層のオブジェクトクラスをすべて指定する必要があります。たとえば、inetorgperson だけではなく、top、person、organizationalperson、および inetorgperson とすべてを指定する必要がある場合があります。
「アカウント検索用の LDAP フィルタ」。LDAP リソースから返すアカウントを制御する LDAP フィルタを入力します。フィルタを指定しなかった場合、Identity Manager は、指定されたオブジェクトクラスのすべてを含むアカウントをすべて返します。
「検索フィルタ内のすべてのオブジェクトクラスを含む」。すべてのアカウントが指定したすべてのオブジェクトクラスを含み、さらに「アカウント検索用の LDAP フィルタ」フィールドの LDAP フィルタで指定したフィルタに一致するようにするには、このボックスをチェックします。
検索フィルタが指定されていないときは、このオプションを有効にする必要があります。このオプションを無効にした場合は、調整やリソースからの読み込み機能を使用することによって、指定したオブジェクトクラスの一部が含まれないアカウントを Identity Manager に読み込むことができます。
読み込み後にアカウントの objectclass 属性が自動的に更新されることはありません。存在しないオブジェクトクラスの属性が管理者インタフェースを介して公開された場合に、objectclass 属性を修正せずにこの属性の値を指定すると失敗します。この問題を回避するには、「調整」や「リソースから読み込み」フォームの objectclass の値を上書きします。
「ユーザー名属性」。ディレクトリからユーザーを検索する場合に、Identity Manager ユーザー名にマップする LDAP 属性名を入力します。この名前は、多くの場合、uid または cn です。
「表示名属性」。このアカウント名を表示するときに使用されるリソースアカウント属性名を入力します。
「VLV 並べ替え属性」。リソース上の VLV インデックスに使用するソート属性の名前を入力します。
「ブロックを使用」。ブロック内のユーザーを検出したり処理したりするには、このボックスをチェックします。
多数のユーザーに対して操作を実行するときにブロックでユーザーを処理すると、操作で使用されるメモリー容量が減ります。
「ブロック数」。処理のためにブロックにグループ化されるユーザーの最大数を入力します。
「グループメンバー属性」。ユーザーがグループに追加されるときにそのユーザーの識別名 (DN) で更新されるグループメンバー属性の名前を入力します。
属性名は、グループのオブジェクトクラスに依存します。たとえば、Sun JavaTM System Enterprise Edition Directory Server および他の LDAP サーバーでは、groupOfUniqueNames オブジェクトクラス、および uniqueMember 属性を持つグループが使用されます。他の LDAP サーバーでは、groupOfUniqueNames オブジェクトクラスおよびメンバー属性を持つグループが使用されます。
「パスワードハッシュアルゴリズム」。Identity Manager がパスワードのハッシュに使用できるアルゴリズムを入力します。サポートされる値は、次のとおりです。
SSHA
SHA
SMD5
MD5
0 を指定したか、このフィールドを空白のままにした場合、Identity Manager は、パスワードをハッシュせず、LDAP サーバーがハッシュを実行しない限り、LDAP に平文パスワードを格納します。たとえば、Sun Java System Enterprise Edition Directory Server はパスワードをハッシュします。
「名前属性の変更」。一番左側にある相対識別名 (DN) を表すユーザー属性の変更を許可するには、このボックスをチェックします。多くの場合、ネーミング属性は uid または cn に変更されます。
「LDAP アクティブ化メソッド」。
リソースで有効化または無効化アクションへのパスワードの割り当てが使用されるようにする場合は、このフィールドを空白にします。
nsmanageddisabledrole キーワード、nsaccountlock キーワード、またはこのリソースのユーザーに対してアクティブ化アクションを実行するときに使用するクラス名を入力します。
「LDAP アクティブ化パラメータ」。「LDAP アクティブ化メソッド」フィールドで指定した内容に基づいて、値を入力します。
nsmanageddisabledrole キーワードを指定した場合は、次の形式で値を入力する必要があります。
IDMAttribute=CN=nsmanageddisabledrole,baseContext |
nsaccountlock キーワードを指定した場合は、次の形式で値を入力する必要があります。
IDMAttribute=true |
クラス名を指定した場合は、次の形式で値を入力する必要があります。
IDMAttribute |
「LDAP アクティブ化メソッド」および「LDAP アクティブ化パラメータ」については、『Sun Identity Manager 8.1 Resources Reference 』を参照してください。
「Paged Results Control の使用」。調整中にアカウントを繰り返し使用するために、VLV Control の代わりに LDAP Paged Results Control を使用するには、このチェックボックスをチェックします。
リソースが単純なページング制御をサポートしている必要があります。
「LDAP グループメンバーシップの維持」。ユーザーの名前を変更したり、ユーザーを削除したりするときに、アダプタで LDAP グループのメンバーシップを維持するには、このボックスをチェックします。
このオプションを有効にしなかった場合は、LDAP リソースでグループのメンバーシップが維持されます。
「テスト接続」ボタンをクリックして、データストアの接続設定をテストします。
接続が成功したことを確認するメッセージ、またはその設定でのエラーを報告するメッセージが表示されます。
終了したら、「保存」をクリックしてから「次へ」をクリックして「プロビジョニング担当者への通知設定」ページに進みます。
LDAP リソースにユーザーを作成する前に、有効なアカウント属性とアイデンティティーテンプレートを設定する必要があります。
外部リソースのデータストアを設定したあと、プロビジョニングツール通知を設定する必要があります。要求元通知を設定することもできます。この節では、電子メールまたは Remedy を使用して通知を設定するプロセスについて説明します。
電子メールテンプレートについては、「タスクテンプレートの設定」を参照してください。
1 人以上のプロビジョニングツールへの電子メール通知を設定および送信するには、次の手順に従います。
「プロビジョニング担当者への通知設定」ページで、「プロビジョニング担当者への通知のタイプ」メニューから「Email」を選択します。次の図に示すように、さらにオプションが表示されます。
次のオプションを設定します。
「プロビジョニングリクエストテンプレート」。メニューから「Sample External Provisioning Request」を選択します。電子メールテンプレートを使用して、プロビジョニングツールに外部リソース要求を通知するために使用する電子メールを設定します。
「委任に従う」。Identity Manager でプロビジョニングツールに対して定義された委任に従う場合は、このボックスをチェックします。
「プロビジョニング担当者のエスカレーション規則」(省略可能)。指定されたタイムアウト期間の前に現在のプロビジョニングツールが要求に応答しなかった場合に、その要求のエスカレーション先となるプロビジョニングツールの決定規則を選択します。
このメニューで使用可能なサンプル規則がいくつかありますが、「Sample External Provisioner Escalation」規則を選択するか、独自の規則を使用する必要があります。「Sample External Provisioner Escalation」規則では、外部プロビジョニングツールのエスカレーション規則を使用して、エスカレーション先のプロビジョニングツールを決定します。
「エスカレーションタイムアウト」。プロビジョニング要求を次のプロビジョニングツールにエスカレーションするまで待機する最大時間を指定します。
このフィールドを空白のままにした場合や 0 を入力した場合、要求はエスカレーションされません。
タイムアウトを指定したが、「プロビジョニング担当者のエスカレーション規則」を選択していない場合、要求が指定されたタイムアウトを過ぎると、Identity Manager は要求を設定者にエスカレーションします。設定者が存在しない場合、タイムアウトの期限が切れると、要求は「未完了」として分類されます。
「プロビジョニングリクエストフォーム」。外部リソースのプロビジョニングツールがプロビジョニング要求を完了または未完了としてマークするために使用できるフォームを選択します。
「プロビジョニング担当者の規則」。外部リソースがユーザーに割り当てられる場合にプロビジョニング要求の送信先となるプロビジョニングツールを定義する規則を選択する必要があります。
このために、独自のルールを記述することができます。複数のプロビジョニングツールを定義することもできます。いずれかのプロビジョニングツールがタスクを完了すると、そのタスクはすべてのプロビジョニングツールのキューから削除されます。カスタム規則の記述については、『Sun Identity Manager Deployment Reference』の第 4 章「Working with Rules」を参照してください。
このメニューで使用可能なサンプルルールがいくつかありますが、「Sample External Provisioner」ルールを選択するか、独自の規則を使用する必要があります。「Sample External Provisioner」ルールでは、設定者がプロビジョニングツールになります。
「リクエストした人への通知」。要求によって発生した事象についての情報が書かれた電子メールを元の要求元に返信するには、このボックスをチェックします。たとえば、プロビジョニング要求が完了であるか、未完了であるか、といった情報が追加情報として必要です。
このオプションを有効にすると、次の追加フィールドが表示されます。
「プロビジョニングリクエストの完了テンプレート」。要求が完了したときに要求元に通知するための「Sample External Provisioning Request Completed」テンプレートを選択します。
「プロビジョニングリクエストの未完了テンプレート」。要求が完了していないときに要求元に通知するための「Sample External Provisioning Request Not Completed」テンプレートを選択します。
「保存」をクリックします。
「設定」ページに、引き続き別の設定タスクを実行できることが示されます。
「リソース」->「リソースのリスト」タブに移動します。これで、この設定に基づいて個々の外部リソースを作成する準備ができました。手順については、「リソースを作成する」を参照してください。
プロビジョニングツールへの Remedy チケットを作成および送信するには、次の手順に従います。
「プロビジョニング担当者への通知のタイプ」メニューから「Remedy」を選択します。次の図に示すように、さらにオプションが表示されます。
次のオプションを設定します。
「プロビジョニングリクエストの Remedy テンプレート」。メニューから「Sample External Remedy Template」を選択します。
Identity Manager には、サンプルの Remedy テンプレートが用意されており、それを使用することも、必要に応じて変更することもできます。
Remedy テンプレートには、Remedy チケットの作成に使用される一連のフィールドが含まれています。Identity Manager では、Remedy のチケット状態に関するクエリーを実行し、タスクが完了したか完了していないかを確認するためにも、このテンプレートが使用されます。
「プロビジョニングリクエストの Remedy 規則」。Remedy の設定を定義するには、このメニューからルールを選択する必要があります。
このメニューで使用可能なサンプルルールがいくつかありますが、「Sample External Remedy Rule」ルールを選択するか、独自のカスタムルールを使用する必要があります。「Sample External Remedy Rule」では、Remedy ルールを使用して、Remedy チケットの現在の状態が完了しているか完了していないかを判断します。
Remedy テンプレートには、Remedy チケットの作成に使用される一連のフィールドが含まれています。Identity Manager では、Remedy のチケット状態に関するクエリーを実行し、タスクが完了したか完了していないかを確認するためにも、このテンプレートが使用されます。
Identity Manager は、このルールを使用して、Remedy チケットの現在の情報に対してクエリーを実行します。チケット状態が完了または未完了の場合、Identity Manager は作業項目をそれぞれ完了または未完了としてマークします。
このために、独自のルールを記述することができます。「Sample External Remedy Rule」というサンプルルールを使用するか、必要に応じて変更することができます。カスタム規則の記述については、『Sun Identity Manager Deployment Reference』の第 4 章「Working with Rules」を参照してください。
「委任に従う」。Identity Manager でプロビジョニングツールに対して定義された委任に従う場合は、このボックスをチェックします。
「プロビジョニング担当者のエスカレーション規則」(省略可能)。指定されたタイムアウト期間の前に現在のプロビジョニングツールが要求に応答しなかった場合に、その要求のエスカレーション先となるプロビジョニングツールの決定規則を選択します。
このメニューで使用可能なサンプル規則がいくつかありますが、「Sample External Provisioner Escalation」規則を選択するか、独自の規則を使用する必要があります。「Sample External Provisioner Escalation」規則では、外部プロビジョニングツールのエスカレーション規則を使用して、エスカレーション先のプロビジョニングツールを決定します。
「エスカレーションタイムアウト」。プロビジョニング要求を次のプロビジョニングツールにエスカレーションするまで待機する最大時間を指定します。
このフィールドを空白のままにした場合や 0 を入力した場合、要求はエスカレーションされません。
タイムアウトを指定したが、「プロビジョニング担当者のエスカレーション規則」を選択していない場合、要求が指定されたタイムアウトを過ぎると、Identity Manager は要求を設定者にエスカレーションします。設定者が存在しない場合、タイムアウトの期限が切れると、要求は「未完了」として分類されます。
「プロビジョニングリクエストフォーム」。外部リソースのプロビジョニングツールがプロビジョニング要求を完了または未完了としてマークするために使用できるフォームを選択します。
「プロビジョニング担当者の規則」。この外部リソース要求に対して 1 人以上のプロビジョニングツールを決定するルールを選択します。
このために、独自のルールを記述することができます。複数のプロビジョニングツールを定義することもできます。いずれかのプロビジョニングツールがタスクを完了すると、そのタスクはすべてのプロビジョニングツールのキューから削除されます。カスタム規則の記述については、『Sun Identity Manager Deployment Reference』の第 4 章「Working with Rules」を参照してください。
「Sample External Provisioner」。設定者がプロビジョニングツールになります。
「Sample External Provisioner Escalation」。外部プロビジョニングツールのエスカレーションルールを使用して、エスカレーション先のプロビジョニングツールを決定します。
「Sample External Remedy Rule」。Remedy の設定者の設定を定義します。
「リクエストした人への通知」。要求が完了したとき、または完了しないときに、要求元に電子メールを送信する場合は、このボックスをチェックします。このオプションを有効にすると、次の追加フィールドが表示されます。
「プロビジョニングリクエストの完了テンプレート」。要求が完了したときに使用する電子メールテンプレートを選択します。
「プロビジョニングリクエストの未完了テンプレート」。要求が完了しないときに使用する電子メールテンプレートを選択します。
電子メールテンプレートについては、「タスクテンプレートの設定」を参照してください。
「保存」をクリックします。
「設定」ページに、引き続き別の設定タスクを実行できることが示されます。
「リソース」->「リソースのリスト」タブに移動します。これで、この設定に基づいて個々の外部リソースを作成する準備ができました。手順については、「外部リソースの作成」を参照してください。
外部リソースデータストアとプロビジョニングツール通知の設定後、新しい外部リソースを作成できます。
新しい外部リソースを作成するには、リソース管理者機能が必要です。
新しい外部リソースを作成するには、次の手順に従います。
メインメニューバーから、「リソース」タブを選択します。デフォルトでは「リソースのリスト」タブが表示されます。
「タイプの設定」タブをクリックすると、「管理するリソースの設定」ページが表示されます。
「リソースアダプタ」テーブルで、「外部」リソースタイプが使用可能であることを確認します。
「リソースのリスト」タブに戻り、「リソースタイプアクション」メニューから「新規リソース」を選択します。
「新規リソース」ページが表示されたら、「リソースタイプ」メニューから「External」を選択し、「新規」をクリックします。
外部リソース作成ウィザードの開始画面が表示されます。「次へ」をクリックします。
「Data Store Configuration」ページの読み取り専用ビューが表示され、先ほど定義した接続および認証情報が示されます。
前述のとおり、設定はすべての外部リソースに適用されるため、通常、このデータストアは一度だけ設定します。この情報のいずれかを変更する場合は、「設定」->「External Resources」タブに戻る必要があります。
先に進む前に現在のデータストアの構成を再テストする場合は、ページの下部にある「設定のテスト」をクリックします。
「次へ」をクリックすると、「プロビジョニング担当者への通知設定」ページが開きます。このページは、「設定」->「External Resources」タブで設定したページと同じです。
現在の「Provisioner Notification」設定を確認し、新しいリソースに対して必要な変更を行います。
必要に応じて、「「プロビジョニングツール通知を設定する」」の設定手順をもう一度参照してください。このページに対して行なった変更はいずれも、このリソースにのみ影響します。
「次へ」をクリックします。
ここからの外部リソースの作成プロセスは、他のリソースの作成プロセスと同じです。ウィザードには、さらにいくつかのページが表示されます。
「アカウント属性」ページ。このページを使用して、リソースのオプションのアカウント属性を定義し、アイデンティティーシステム属性を新しいリソースアカウント属性にマップします。たとえば、「ノートパソコン」という外部リソースを作成する場合は、モデルやサイズの属性を追加するといいでしょう。
このページにはデフォルトは指定されません。
「アイデンティティーテンプレート」ページ。このページを使用して、この外部リソースで作成されたユーザーのアカウント名の構文を定義します。デフォルトのアイデンティティーテンプレート、$accountId$ を使用することも、別のテンプレートを指定することもできます。
「アイデンティティーシステムのパラメータ」ページ。このページを使用して、外部リソースのアイデンィティーシステムパラメータを設定します。たとえば、ポリシーを無効にしたり、再試行を設定したり、承認者を指定したりすることができます。
これらのページの詳細や、このリソースの設定を終了するために必要な手順については、「リソースを作成する」を参照してください。
「アイデンティティーシステムのパラメータ」ページの設定が終了したら、「保存」をクリックします。これで、他のリソースと同様に、このリソースをユーザーに割り当てることができます。
この節では、次の実際のプロビジョニングプロセスについて説明します。
外部リソースをユーザーに割り当てるには、次の手順に従います。
外部リソースを割り当てるには、リソース管理者機能が必要です。
「アカウント」->「アカウントのリスト」をクリックし、そのページのユーザー名をクリックします。
「ユーザーの編集」ページが表示されたら、「リソース」タブをクリックします。
「個別リソース割り当て」の「利用可能なリソース」リストで外部リソースを見つけ、「現在のリソース」リストに移動して、「保存」をクリックします。
Identity Manager は、プロビジョニングタスクを作成し、そのプロビジョニングタスクの所有者を示すメッセージを送信します。このリソースに「プロビジョニング担当者への通知」ページが設定されているときは、「プロビジョニング担当者の規則」を使用して、1 人以上のプロビジョニングツールが定義されています。
Identity Manager は、電子メールまたは Remedy チケットを使用して、要求が申請中であることをプロビジョニングツールに通知することもできます。
他のリソースと同様に、ユーザーは承認者を定義することができ、承認者が要求を承認したり拒否したりすることができます。また、ユーザーはプロビジョニングツールを定義する必要がありますが、プロビジョニングツールは要求を承認したり拒否したりすることはできません。その代わりに、プロビジョニングツールはタスクを完了する場合も、完了しない場合もあります。
「アカウント」->「アカウントのリスト」ページに戻るには、「OK」をクリックします。ユーザー名の横の作業項目アイコン内に砂時計が表示され、要求が申請中であることを示します。
プロビジョニング要求が生成されると、その要求は、定義されたプロビジョニングツールが手動プロビジョニングを完了するか、要求を未完了としてマークするまで、または要求がタイムアウトするまで、プロビジョニングプロセスを中断します。Identity Manager は、これらのプロビジョニング応答を監査します。
他の作業項目と同様に、「作業項目」->「プロビジョニングリクエスト」タブから申請中の外部リソースのプロビジョニング要求をすべて確認できます。
プロビジョニング要求には次のように応答します。
「作業項目」 > 「プロビジョニングリクエスト」タブをクリックして、「プロビジョニング待ち」ページを開きます。
申請中のプロビジョニング要求を見つけ、選択します。
オプションで、プロビジョニング要求の電子メールを開き、「プロビジョニングリクエストテンプレート」で定義されたリンクをクリックし、ログインしてプロビジョニング要求についての詳細を含むページを表示します。
このページから、要求された属性を更新し、ユーザーに対してプロビジョニングされた内容を正確に反映することができます。たとえば、ユーザーがソニーのノートパソコンを要求したが、そのモデルを用意できなかった場合、実際にプロビジョニングしたモデルでこのページを更新します。
次のボタンのいずれかをクリックして、要求を処理します。
リソースをプロビジョニングできる場合は、「完了しました」をクリックします。
Identity Manager は、ユーザーの外部リソースアカウント属性を更新して、実際にプロビジョニングされた内容を示し、申請中のプロビジョニング状態フラグを削除して、プロビジョニング要求の作業項目の更新を完了します。
設定されると、Identity Manager は、そのために設定された電子メールテンプレートを使用して、要求元にプロビジョニング要求が完了したことを通知します。
リソースをプロビジョニングできない場合は、理由を明らかにし、「未完了」をクリックします。
要求を「未完了」としてマークすると、
ユーザーは外部リソースに対してプロビジョニングされません。
外部リソースはユーザーに割り当てられたままになります。
黄色のアイコンは、ユーザーに更新が必要であることを示し、ユーザー名の横に表示されます。
このユーザーを編集すると、エラーメッセージが表示され、ユーザーが外部リソースに見つからないことが示されます。
設定されると、Identity Manager は、そのために設定された電子メールテンプレートを使用して、要求元に通知します。
リソースをプロビジョニングできない場合は、「転送」をクリックして、要求をほかの第三者に転送することもできます。
プロビジョニング要求の作業項目が完了したとき、または完了していないとき、Identity Manager はユーザーに割り当てられた外部リソースの申請中状態を消去し、外部リソースデータストアに対して更新は発生しません。
リソースは、そのリソースに関するユーザーの accountId も含めて、そのユーザーの割り当てられたリソースのリストと、現在のリソースアカウントのリストに表示されます。
割り当てられたプロビジョニングツールが指定されたタイムアウトの前にプロビジョニング要求に応答しない場合、Identity Manager は関連付けられたプロビジョニング要求の作業項目を取り消します。
「Provisioner Notification」ページを設定するときにタイムアウト期間を指定し、プロビジョニング要求がタイムアウト期間を過ぎた場合、Identity Manager は次のアクションのいずれかを実行します。
「プロビジョニング担当者のエスカレーション規則」を指定した場合、Identity Manager はそのルールを使用して次のプロビジョニングツールを決定し、要求をそのプロビジョニングツールにエスカレーションします。
「プロビジョニング担当者のエスカレーション規則」を選択しなかった場合、Identity Manager は要求を設定者にエスカレーションします。設定者が存在しない場合、タイムアウトの期限が切れると、要求は「未完了」として分類されます。
「エスカレーションタイムアウト」フィールドを空白のままにした場合や 0 を入力した場合、Identity Manager は要求をエスカレーションしません。
外部リソースのプロビジョニング作業項目は、他のプロビジョニング要求と同様に委任できます。詳細と手順については、「作業項目の委任」を参照してください。
外部リソースは、他のリソースと同様に、「一般」タブでユーザーから割り当て解除またはリンク解除できます。手順については、「ユーザーの作成およびユーザーアカウントの操作」を参照してください。
ユーザーから外部リソースを割り当て解除またはリンク解除しても、プロビジョニング要求や作業項目は作成されません。外部リソースを割り当て解除またはリンク解除しても、Identity Manager がリソースアカウントのプロビジョニングを解除したりリソースアカウントを削除したりすることはないため、作業は発生しません。
外部リソースにまだ割り当てられているユーザーを削除することはできません。ユーザーを削除する前に、まず、それらの外部リソースのプロビジョニングを解除するか、外部リソースを削除する必要があります。
Identity Manager では、次の方法を使用して外部リソースをデバッグしたり監視したりすることができます。
外部リソースアダプタを監視できます。
データベースのデータストアを使用している場合は、com.waveset.adapter.ScriptedJdbcResourceAdapter および com.waveset.adapter.JdbcResourceAdapter 監視クラス名を監視します。
ディレクトリのデータストアを使用している場合は、com.waveset.adapter.LDAPResourceAdapter 監視クラス名を監視します。
ワークフロー監視を使用した追加データフローおよびワークフロー監視や、NetBeans または Eclipse Identity Manager IDE プラグインを使用したデバックが可能です。
ユーザーはデータストアを設定および制御するので、データストアの検査を使用して、そのデータストアの情報が正しいことを確認することができます。
Identity Manager は、発生するすべてのアクティビティーに対して監査記録を作成します。
監視とトラブルシューティングについては、『Sun Identity Manager 8.1 System Administrator’s Guide』を参照してください。